Beide sind besser als nichts
Lass uns das gleich klären: Wenn du zwischen SMS-basierter 2FA und keiner 2FA wählen musst, schalte SMS ein. Ein schwacher zweiter Faktor schlägt keinen zweiten Faktor. Aber wenn du die Wahl zwischen SMS und einer TOTP-Authenticator-App hast, ist die Authenticator-App die bessere Option. Hier ist warum.
Wie SMS-2FA funktioniert
Wenn du dich mit SMS-basierter 2FA in einen Account einloggst, sendet der Dienst eine Textnachricht mit einem kurzen numerischen Code an deine Telefonnummer. Du gibst den Code in das Login-Formular ein, und wenn er übereinstimmt, bist du authentifiziert.
Einfach. Weit verbreitet. Fast jeder hat ein Telefon, das Texte empfängt.
Das Problem ist, dass SMS für Kommunikation entworfen wurde, nicht für Sicherheit. Textnachrichten durchlaufen das Netzwerk deines Carriers, und es gibt mehrere Punkte auf diesem Weg, an denen Dinge schiefgehen können.
Wie TOTP funktioniert
TOTP generiert Codes auf deinem Gerät mit einem gemeinsamen Geheimnis und der aktuellen Uhrzeit. Wenn du die volle Erklärung willst, gibt es einen separaten Post über wie TOTP funktioniert. Die Kurzfassung: Deine Authenticator-App und der Server haben beide eine Kopie desselben geheimen Schlüssels. Sie wissen beide, wie spät es ist. Also produzieren sie unabhängig denselben 6-stelligen Code alle 30 Sekunden. Kein Netzwerk nötig.
Wo SMS hinterherhinkt
SIM-Swapping
Das ist das größte Problem. Ein SIM-Swapping-Angriff passiert, wenn jemand deinen Telefon-Carrier überzeugt, deine Nummer auf eine neue SIM-Karte zu transferieren. Der Angreifer ruft den Kundensupport an, gibt sich als du aus (mit persönlichen Infos aus Datenlecks, Social Media oder Social Engineering), und bittet darum, deine Nummer auf seinem Gerät zu aktivieren.
Sobald sie deine Nummer kontrollieren, empfangen sie deine SMS-Codes. Sie können sich dann in jeden Account einloggen, wo du SMS-basierte 2FA nutzt.
SIM-Swapping ist nicht theoretisch. Es wurde verwendet, um Kryptowährungen zu stehlen, in Unternehmens-Accounts einzubrechen und Journalisten und Aktivisten zu zielen. Das Internet Crime Complaint Center des FBI erhielt über 2.000 SIM-Swapping-Beschwerden in einem einzigen Jahr.
SS7-Schwachstellen
SS7 ist eine Reihe von Protokollen, die Telefonnetzwerke nutzen, um Anrufe und Texte zu routen. Es wurde in den 1970ern entworfen, als die einzigen Akteure im Netzwerk vertraute Telekom-Unternehmen waren. Sicherheit war keine Priorität.
Forscher haben demonstriert, dass Angreifer mit Zugriff auf das SS7-Netzwerk Textnachrichten abfangen können, ohne dass das Opfer es merkt. Diese Art Angriff erfordert technische Raffinesse und Netzwerkzugriff, also ist es nicht etwas, das ein zufälliger Script-Kiddie abzieht. Aber Staatsakteure und gut finanzierte kriminelle Gruppen haben es genutzt.
Netzwerkabhängigkeit
SMS braucht Mobilfunk-Empfang. Kein Signal, kein Code. Wenn du international unterwegs bist, im Keller oder irgendwo mit schlechter Abdeckung, kannst du dich vielleicht nicht einloggen.
TOTP funktioniert offline. Der Code wird lokal auf deinem Gerät generiert. Du könntest im Flugzeugmodus sein, auf einem U-Boot, wo auch immer. Solange die Uhr deines Geräts ungefähr richtig geht, funktionieren die Codes.
Lieferverzögerungen
Texte kommen manchmal zu spät an. Carrier-Überlastung, Netzwerkprobleme oder internationales Routing können eine SMS um Sekunden oder sogar Minuten verzögern. Wenn der Code abläuft, bevor du ihn empfängst, musst du einen neuen anfordern. Nervig, und gelegentlich ein echtes Problem, wenn du dich schnell einloggen musst.
TOTP-Codes sind sofort verfügbar. Du öffnest die App, und der Code ist da.
Wo SMS die Nase vorn hat
Komfort. Du musst keine App installieren. Du musst keine QR-Codes scannen. Du musst nicht verstehen, was ein “geheimer Schlüssel” ist. Der Dienst textet dir einen Code, und du gibst ihn ein. Für Menschen, die sich nicht wohl fühlen, eine Authenticator-App zu verwalten, ist SMS einfacher einzurichten und zu nutzen.
Da ist auch die Backup-Frage. Wenn du dein Telefon verlierst, kannst du eine neue SIM mit deiner gleichen Nummer von deinem Carrier bekommen. Die Wiederherstellung des Zugriffs auf eine Authenticator-App kann schwieriger sein, wenn du keine Backups eingerichtet hast.
Die Sicherheitslücke, in einfachen Worten
Der Kernunterschied: TOTP-Codes reisen nie über ein Netzwerk. Sie werden auf deinem Gerät generiert und in ein Login-Formular getippt. Das war’s. Es gibt keine Nachricht zum Abfangen, keinen Carrier für Social Engineering, kein Protokoll zum Ausnutzen.
SMS-Codes durchlaufen Infrastruktur, die du nicht kontrollierst: das Netzwerk deines Carriers, SS7-Routing, Funkmasten. Jeder Hop ist ein potenzieller Abfangpunkt.
NIST (das U.S. National Institute of Standards and Technology) markierte SMS bereits 2016 als “eingeschränkten” Authenticator und empfahl Diensten, sich zu App-basierten oder Hardware-basierten Methoden zu bewegen. Diese Empfehlung hat sich nicht geändert.
Praktischer Vergleich
| SMS | TOTP | |
|---|---|---|
| Braucht Mobilfunk | Ja | Nein |
| Anfällig für SIM-Swapping | Ja | Nein |
| Anfällig für SS7-Abfangen | Ja | Nein |
| Einrichtungsschwierigkeit | Niedrig | Niedrig-mittel |
| Code-Lieferung | Manchmal verzögert | Sofort |
| Funktioniert offline | Nein | Ja |
| Offener Standard | Nein | Ja (RFC 6238) |
Das Fazit
Wenn ein Dienst TOTP als Option anbietet, nutze es. Die Einrichtung dauert eine Minute, und du bekommst einen deutlich sichereren zweiten Faktor. Wenn SMS die einzige verfügbare Option ist, nutze es trotzdem. Jeder zweite Faktor reduziert dein Risiko im Vergleich zu einem Passwort allein.
Für einen kostenlosen, browserbasierten TOTP-Generator, den du sofort ausprobieren kannst, schau dir 2fa.zip an.